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(g) Kryptographisches Verfahren und kryptographische Vorrichtung 

@ Die Erfindung betrifft ein kryptographjsches Verfahren 

. mit mindestens einem eine modulare Exponentiation E ' . 

gemafi E = x**(mod p . q) enthaltenden Rechenschritt mit 
-..einem ersten Primfiaktor p, emenri zweiten Primfaktor q, 
einem Exponenten d und einerZahl x,wobei die modula- 
re Exponentiation E gemal^ dem Chinesischen Restwert- 
satz berechnet wird. 
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Beschreibuiig 



[0001 J Kryptographische Verfahren in Gestalt yon Vbr- 
schlusselungs- und Signaturverfahren erfreuen sich insbe- 
sondere durch die steigende Bedeutung des elektronischen 5 
Gescbaftsverkehres einer stetig wachsenden Verbreitung. 
Sie werden in der Regel mittels elektronischa: ^^rrichtun- 
gen implemeadert, die beispielsweise einen piogrammi^- 
baien universellen MLcrokontroller oder auch eine speziali- 
sierte elektionische Schaltiing etwa in Gestalt eines ASIC lo 
beinhalten kckinen. Eine besonders interessante Form kryp- 
tographischer Vorrichtungen ist die Chipkarte, da sich in ihr 
bei zweckdienlicher technischer Ausgestaltung geheime 
Schliisseldaten gegen unbefiigten Zugriff schutzen lassen. 
Ein standiges Bemuhea gilt dabei sowohl der Verijesserung 15 
der Ausfuhrungsgeschwindigkeit der ktyptographischen 
Verfahren als auch deren Sicherung gegen alle denkbaien 
Arten von Angriffen, Die Erfindung eignet sich insbesbn- 
dere fiir den Einsatz im Ziisammenhang mit Chipkarten, ist 
aber in keiner Weise darauf beschrankt. Sie ist viehnehr im 20 
Zusammenhang mit alien Arten von kryptographischen Vor- 
richtungen implementierbar. 

[0002] Bei einer Reihe bekannter kryptographischer \fer- 
fahren ist es erfordeilich, eine modulate Exponentiation ge- 
maB der Gleichung 25 

E = x**(modN) = x*^mod p • q) (1) 

durchzufiihren, wobei p und q Primzahlen sind, Ein beson- 
ders bedeutendes kryptograpbisches Verfahren, welches ei- 30 
nen modularen Exporientiationsschritt beinhaltet, ist das 
beispielsweise aus Alfred X Menezes, Paul C. von Oorschot 
und Scott A. Vanstone, "Handbook of Applied Cryptogra- 
phy", Boca Raton: CRC Press, 1997. Soixea 285 bis 291, be- 
kaimte RS A- Verfahren. Die Verwaidung der modularen Ex- 35 
ponendation ist jedoch nicht auf das RSA- Verfahren be- 
schrankt, sonderh umfaBt beispielsweise auch aus Menezes 
et al., a, a. O., Seiten 438 bis 442, bekannte Rabin-Signatu- 
ren und das aus Menezes et al., a. a. O., Seite 408 bis 410, 
bekaimte Fiat-Shamir'sche Identifikationssdiema. 40 
[0003] Die Sicherheit von krjrptographischen Verfahren, 
die die modulare Exponentiation einbeziehen, ist regeima- 
Big abhangig von d^ Schwierigkeit, die 2ahl N aus Glei- 
chung (1) in ihre Primf aktoren p und q zerlegen zu konnen. 
Dieses Problem ist nur fiir hinreichend groBe Werte N von 45 
ausreichender Komplexitat, so daB einerseits N moglichst 
groB gewahlt werden sollte. Der Rechenaufwand zur Be- 
rechnung von Werten mittels modularer Exponentiation ge- 
maB Gleichung (1) steigt anda-erseits monoton mit der Gro- 
Benordnung von N, so daB es unter dem Gesichtspunkt der 50 
praktischen Anwendbarkeit wunschenswert ware, trotz gro-. 
Ber W(Mte yon N den Rechenzeitaufwand auf akzeptable 
Wote beschranken zu konneh. 

[0004] Es ist bekannt, durch Anwendung des sog. "Chine- 
sischen Restwertsatzes" die Rechengeschwindigkeit um ei- 55 
nen Faktor 4 erhohen zu konnen, wodurch beispielsweise 
bei gleicher Rechenzeit groBere Werte N zugelassen werden 
konnen. Statt unmittelbar die Gleichung (1) auszuwerten, 
wird dne Umformung vorgenonmiai gemaB 

60 

E = x^(modp • q) = aEi+bE2(modN) (2) 



rmt 

El = x^(mod p) (3) 
E2 = xVodq) (4) 



65 



[0005] Eine Folge der Anwendung des Chinesischen Rest- 
wertsatzes besteht darin, daB die inodulare Exponentiation 
nicht m^ modulo N, also modulo derjenigen Zahl, die ihre 
eigene Primfaktorzerlegung noch in sich verbiigt, sondem 
nacheinander in einem ersten Teilschritt modulo p und in gi- 
nem zweiten Teilschritt modulo q erfolgt, d h: die Kenntnis 
der geheimzuhaltenden Primfaktorzerlegurig n = p * q wird 
bei dieser Rechaivofschrift vorausgesetzt urid fuhrt zu einer 
Aufteilung des Gesamtrechenprozesses in einen ersten Re- 
chenschritt (3), in den der erste Primfaktor wesentlich ein- 
geht, und einen zweiten Redienschritt (4), in den der zweite 
Primfaktor wesentlich eingeht Der Vorteil hierbei liegt 
darin, daB der Exponent d in Gleichung (1) modulo <|>(p • q) 
definiert sein muB, wohingegen die Exponenten in Glei- 
chung (2) ledigUch 4>(p) bzw. <>{q) definiert sein mussen, wo- 
bei mit 4» die Euler'sche Funkdon notiert ist 
[0006] Interessantorwdse ist nun in der leizten Zeit ein 
Angrififsschema auf solche kryptographischen Verfahren, 
die die modulare Exponentiation nutzen, bekannt geworden, 
bei dem durch einen geeigneten artifiziellen Eingriff in den 
ansonsten storungsfreien Rechenablauf aus dem fehlerhaf- 
ten Ergebnis einer gestorten modularen Exponentiation die 
Information iiber die Primfaktorzerlegung von N zuruckge- 
woimen werden kaim, sofem die konkrete Implementation 
von dem Chinesischen Restwertsatz gemaB den Gleichun- 
gen (2) bis (4) Gebrauch macht Diesa: als "Bellcore-An- 
grifT* bekannte Versuch ist beispielsweise in Dan Boneh, Ri- 
chard A. DeMillo und Richard J. lipton: "On the impor- 
tance of checking Cryptographic Protocols for Faults" Ad- 
vances in Cryptology-EUROCRYPT, 97, Lecture Notes in 
Computer Science 1233, Berlin: Springer, 1997 beschrie- 
ben. Eine Verschliisselungseinrichtung wird durch physika- 
lische Eingriffe wie beispielsweise Ubertaktung, zu hohe 
Betriebssparmung Oder Bestrahlung manipuHert, so daB mit 
dner gewissen, nicht zu groBen Walurschemlichkeit Rechen- 
fehler hd der Ausfuhrung der modularen Exponentiation 
nach dem Chinesischen Restwertsatz auftreten. Wenn ein 
Rechenfehler nur bei einem der beiden Terme in Gleichung 
(2) auftritt, konnen die beiden Primfaktoren p und q aus dem 
fehlerbehafteten Exponfentiationsergebnis rekonstruiert wer- 
den. 

[0007] Die aus dieser VerletzUchkeit der mittels des. Chi- 
nesischen Restwertsatzes implementierten modularen Expo- 
nebtiation zu ziehende Konsequenz besteht darin, das Er- 
gebnis des Rechenvorganges zuerst auf seine Korrektheit zu 
pnifen, bevor es weiterverarbeitet, insbesondere aber bevor 
es in irgend eiuCT Form, etwa in Gestalt einer Signatur, aus- 
gegeben wird. 

[0008] Ein triviales Gegemnittel gegen den "Bellcore- An- 
griff" bestdit darin, diese Korrektheitsprufung dadurch zu 
beweiksielligen, indem der Rechenvorgang mindestens ein- 
mal wiederholt wird. Bei zu^Uigen Rechenfehlem kann da- 
von ausgegangoi werden, daB das Eigebnis des ersten Re- 
chenganges von demjenigen der Kontrollrechengange ab- 
weicht. Der wesentliche Nachteil dieses Ansatzes besteht 
darin, dafi sich die Rechenzeit bereits bei einer KontroU- 
rechnung verdoppelt 

[0009] Aus der Druckschrift WO-Al-98/523 19 ist insbe- 
sondere ein Verfahren zum Schutz von eine modulare Expo- 
nentiation nach dem Chinesischen Restwertsatz ausfiihren- 
den Rechenop^ationen gegen den "Bellcore- AngriflT be- 
kannt. Dabei werden zwei geheime ganze Zahlen ji und }2 
beispielswdse im Bereich [0, 2^-1] mit 16 < k < 32 aus- 
gewahlt. Sodann werden folgende Ausdrucke berechnet: 

Vi = x(modj - q) (5) 

V2 = x(mod j • q) (6) 
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di=d(mod(Kj • P)) (7) 
d2 = cl(inod(|)(j . q)) (8) 
Wi = vAmodj ♦ p) (9) 
W2 = V2^modj ♦ q) (10) 
Sodann wird gepriifl, ob gilt: 
Wi = W2(nibd j) (11) 

[0010] Kann der Ausdrucke (11) verifiziert werden, so 
werden bei deih bekannten Verfahren folgende Ausdrucke 
berechnet: 



yi=Wi(modp) (12) 
y2 = W2(modq) (13) 

. • ' ' y . . 

woraus dann mittels des Chinesischen Restwertsatzes der 
Wcrtfiir " 

E = x^(modN) (14) 



X2 = x(inodq • s) (16) 
d^l=d(mod<Kp • r)) (15) 

5 

d_2 = d(mod<Kq ' s)) (16) 

Zi+Xi**-Vodp • r) (15) 

10 z2 = X2^Vodq . s) (16) 

[0018] Jetzt gilt zi = x**(mod p • r) und zj = x^(mod q • 
s). Nach dem Qiinesischen Restwertsatz laBt sich aus Zi und 

Z2 leicht eine Zahl z berechnen mit 

15 • ... .... 

z=zi(inodp • r); z = Z2(mod q • s); z = x**(mod p • q • 
lcm(r^)) (17) 

[0019] Die Zahlen r und s miissen erfindungsgemaB so ge- 
20 wahlt werden, dafl d teilerfremd isl zu <^(lcm(r,s)). Unter die- 
sen Umstanden laBt sich mit Hilfe des erweiterten Eu- 
klid'schen Algorichmus leicht eine natiirliche Zahl e finden 
mit 



25 e • d= l(mod<>Ocm(r;s))) (18) 



ennittelt w^en kann. 

[0011] Dieses bekannte Verfahren weist gegenuber einfa- 
chen KontroUrechengangen den Vorteil auf^ daB der zusatz- 
liche Rechenzeitaufwand weseritlich geringer ist. 30 
[0012] Bei diesem Verfahren miissen beide Primzahlen p 

• und q mit demselben Faktor d multipliziert werden. In der 
Druckschrifl WO-A 1-98/523 19 ist ein zweites Verfahren 

. beschrieben, welches es erlaubt, die Primzahlen p und q mit 
verschiedeaen Faktoren r und s zu multi^liziereQ. Hierbei 35 
sind jedoch fur die KontroUrechnung zwei weitere Expb- 
nentiationen moglich. 

[0013] Aufgabe der Erfindung ist es, ein kryptographi- 
sches VerfahTMi bzw. eine kryptographische Vorrichtung an- 
zugeben, bei dem bzw, bei der unter Beibehaltung oder Er- 40 
hohung da- Sicherheit Rechenoperationeii bder Rechenzeit 
eingespart werden kann. 

[0014] Diese Aufgabe wird erfindungsgemafi gelost dutch 
ein iayptographisches Verfahren mit den in Anspruch 1 oder 
2 angeg:d)enen Merkmalen als auch durch eine kryptogra- 45. 
phische Vorrichtung mit den iii,'Anspruch 13 oder 14 ange- 
gebehen Merkmalen. 

[0015] Den abhangigen Anspnichen 3 bis 12 sowie 15 bis 

• 24 sind yorteilhafte Weiterbilduhgen entnehmbar. 

[0016] Wieweiteruntenerwahnt wird, ist es aufbestimm- 50 
tea Rechenwetkeii vorteilhaft, wenn ein Modulus bei der 
modular^ Exponentiation viele fuhrende binare Einsen be- 
sitzt, so daB veischiedene Faktoren r und s hier einen gewis- 
sen Vorteil bedeuten. Femer gibt es fur die modulare Expo- 
nentiation optimicrte Rechenwerice, wobei aber allein der 55 
Datentransfer von der Zentraleinheit in das optimierte Re- 
chenwa-k fur die Exponentiation einen betrachdichen Ver- 
waltungsaufwand verursacht. Die voriiegende Erfindung 
spart gegenuber dem oben beschriebenen Verfahren bei ver- 
schiedenen Faktoren r und s eine Exponentiation ein; 60 
[0017] Erfindungsgemafi werden zwei ganze Zahlen r und 
s beispicls weise im Bereich (0. 2*^ - 1 ] mit 1 6 < k < 32 aus- 
gewahlt, so daB d teilerfremd zu <|)(lcm(r,s)) ist, wobei 
lcm(r,s) das kleinste gemeinsame Vielfache von r und s an- 
gibt, und <t>0 die Eulersche Funktion darstellt. Sodann wer- 65 
den folgende Ausdrucke berechnet: 



[0020] Mit Hilfe von Z und e wird die Zahl C wie folgt be- 
rechnet: 

C = z^(modlcm(r,s)) (19) 
[0021] Nach dem FermafschenSatz gilt: 
C = x** • * = x(mod lcm(r,s)) (20) 

[0022] Durch Vergleich der beiden Werte C und x modulo 
lcm(r,s) laBt sich ein Fehler mit hoher Wahrscheinlichkeit 
feststellen. Wenh C x (mod lcm(r,s)) festgestellt wird, ist 
das Ergebnis der modularen Exponentiation als fehlerfoehaf- 
tet anziisehen und zu verwerfen. 

[0023] Bei RSA- Verfahren (ebenso wie beim Rabin'schen 
Signaturverfahren) ist zur Erzeugung einer digitalen Si^a- 
tur oder zur Entsdilusselung eine modulare Exponentiation 
durchzufuhren, wobei der Modulus p • q und Exppnent d 
niir vom privateri Schltissel abhangen. Infplgedessen kon- 
nen die Zahlen d, e, r und s einmal beim Einbringen des pri- 
vaten Schlussel berechnet und zur Wiederverwendung abge- 
speichert wetden. 

[0024] In einer Variante der Erfindung werden ebenfalls 
zwei ganze 2^en r und s beispielsweise im Bereich [0, 2?^ - 
1] mit 16 < k < 32 ausgewahlt. Auf.einemi buiaren.Re- 
chenwerk wird empfohlen, daB die Zahlen r imd s beide un- 
gerade sind AuBardem werden zwei feste, nicht von x ab- 
hangige Zahlen bi und b2 im Intervall [1, /. r - 1] bzw. [1, 
. . s - 1] und teilerfremd zu r bzw. s gewahlt Falls r und s 
nicht teilerfremd sind, miissen bi und b2 die zusatzliche Be- 
dingung bi = b2 (mod ggt(r,s)) erfiillen, wobei ggt(r,s) den 
groBten gemeinsamen Teiler von r und s bezeichnet. 
[0025] Nach dem Chinesischen Restsatz wird zunachst 
eine Zahl xj berechnet mit 

xi = x(mod p), xi = bi(mod r) (21) 

[0026] Ebenso wird eine Zahl Xz berechnet mit 

X2 = x(mod q), X2 = b2(mod s) (22) 



xi =x(uiodp ■ r) (15) 



10027] Sodann werden folgende Ausdrucke berechnet: 
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d_l=d(mod<|)(p)) (23) 
d_2 = d(mod4>{q)) (24) 

5 

Zi = xi*^-Vmodp . r) (25) 
Z2 = X2*^-^(modq ♦ s) (26) 

Ci = bi^'i(mod . r) (27) . lo 

C2 = b2^-^(mod - s) (28) 

[0028] Ziir Hnspaning von Rechenzeit konnen die Expb- 
nenten dji und d_2 in (27) bzw. (28) vor der Durchfiihrung 15 
der Exponentiation modulo ^(r) bzw, 4»(s) leduzim werden. 
[0029] Aus (23) und (25) folgt 

Zi = xVodp) (29) 

20 

[0030] Aus(24)und(26)folgt 

zi = xVodq);" (30) ^ 

[0031] Nach dem Chinesischen Restwertsatz lafit sich aus 25 
Zi und Z2 leicht eine Zahl z berechnen mit 

z = zi(modp • r);z = Z2(modq • s); (31) 

[0032] Selbst wenn r und s nicht teilerfremd sind, existi^t 30 
eine solche Zahl z wegen zi = Ci = bi**-^ = bz*^-^ = C2 = 
Z2(mod gcd(r^)); Da p und q teilerfremd sind, folet aus (29), 
(30) und (31): 

z = x**(modp • q). (32) 



35 



so daB sich die gesuchte Zahl z leicht aus den oben berech- 

neten Werten ennitteln laBt. 

[0033] Aus (21), (25) und (27) foigt 

zi = Ci(mod r) . P3) 
[0034] Aus (22), (26) und (28) folgt 



40 



Z2 = C2(mods). (34) 



45 



[0035] Diirch Priifung der Bedihgungen (33) und (34) laBt 
sich ein Fehler mit hoher Wahrsdieinlichkeit feststellen. 
Weam eine da- Bedinguhgen (33) oder (34) verletzt wird, ist - 
das Ergebms der modularen Exponentiation als fehlerbdiaf- 50 
tet anzusehen und zu verwerfen. 

[0036] Im Gegensatz zu dem Verfahren in Patentanspnich 
8 der Dnickschrift WOAl-98/52319 sind die Zahlen bi und 
b2 in bei dem hier voigestellten Variante des Verfahrens 
nicht von der Basis x abhangig. lypischoweise wird bei der 55 
Anwendung des RSA- Verfahrens oder des Rabin'schen Si- 
gnaturverfahrens eiri privater Schlussel einmal in ein kryp- 
tographisches Gerat, z. B. in eine Chipkarte eingebracht, 
und anschlieBend mehmials verwendet Hierbei ist bei der in 
diesen Verfahren angewendeten modularen Exponentiation 60 
der Exponent d sowie der Modulus p / q jeweils ein fester 
Bestandteii des privaten Schliissels. liifolgedessen miissen 
daB die Weite Cj und C2 nur einmal beim Einbringen des 
Schlussels in das kryptographische Gerat beiechnet wetden, 
und konnen dann anschlieBend in dem Gerat abgespeichert 65 
werden. Das Abspeichern dieser Werte spart ggu, dem in der 
Dnickschrift WO-A 1-98/523 19 vorgesteUten Verfahren 
zwei modulare Exponentiaiionen. 



[0037] Eine kryptographische Vorrichtung, beispielsweise 
eine Chipkarte, mit ciner Zusatzhardware fur die Beschleu- 
nigungder modularen Arithmetik enthalt bei iiblichen Aus- 
fuhrungsformen schnelle Addier- und/oder Multiplizierein- 
heiten, wahrend die bei er modularen Reduktidn erforderli- 
che Division durch eine lange Zahl nach ublichen Standard- 
verfahren durchgefuhrt werden muB, wie sie beispielsweise 
aus Donald Knuth: "The Art of Computer Programming", 
Volume 2: Seminumerical Algorithms, 2. Ed„ Addison- 
Wesley, 1981, bekannt sind. Eines von mehieren bekannten 
Verfahren zur Vereinfachung der Divisionsoperation besteht 
darin, den Modulus p vor der Exponentiation mit einer Zahl 
r zu multiplizieren, so daB die Binardarstellung des Produk- 
tes p • r moglichst viele Einsen enthalt; siehe beispiels- 
weise Menezes et al. a. a. O., Seiten 598 bis 599, Die Divi- 
sion durch eine Zahl mit moglichst vielen fiihrenden Einsen 
ist.erheblich einfacher als die Division durch cine allge- 
meine Zahl: 

[0038] Der Multiplikator r wird erfindungsgemaB so ge- 
wahlt, daB d teilerfremd zu ^(r) ist. Fur jeden Modulus p gibt 
^ ^^.^ jeweiligen technischen Implementierung 

der Division abhangigen optimalen Multiplikator ropt- Falls 
der gewahlte Wert von r geringfugig kleiner als das ()pti- 
nium ist, enthalt das Produkt p - r immer noch genugend 
viele fiihrende Einsen, um die Division einfach gestalten zti 
konnen. Mit hoh^ Wahrscheinlichkeit ist die Zahl d teilo*- 
fremd zu miixlestens eihem der Werte <Kropt - i), wobei i = 1 , 
. , k, wobei k eine von der Implementation abhangige 
kleine Zahl ist 

[0039] Wenn dies nicht der Fall ist, ersetze man r durch 2* 
♦ r, wobei 2Veine von der Implementierung abhangige ge- 
eignete Zweierpotenz ist 

[0040] Dieselben Substitutipnen sind entsprechend auch 
auf den zweit^ Primfaktor q anwendbar. Da die Multiplika- 
toren r (fiir p) und s (fur q) unabhangig voneinander gewahlt 
werdcai konnen, ist fur den Multiplikator s ebenfalls eine 
entsprechende Wahl moglich. 

Patentanspriiche 

1. Kryptographisches Verfahren, 

a) imtiiundesteriseinem eine modulare Exponen- . 
- dation E , 

E = x*^mQdp * q). 

^thaltenden Recherischritt rriit einem erstcn 
Primfaktor p, einem zweiten Primfaktor q, einem 
Exponenten d und einer Basis x, wobei 

b) zur Durchfiihrung der modularen Exponentia- 
tion zwei natiirliche Zahlen r und s gewahlt wer- 
den mit der Bedingimg, dafi d teilerfremd' ist zu 
(l)(lcm(r,s)) und wobei die folgenden Rechen- 
schritte durchgefuhrt werden: 

xi = x(mod p • r) 

X2 = x(mod q • s) 

d_l = d(mod (p • r)) 

d_2 = d(mod<t<q ' s)) 

zi = xi''-^(mod p - r) 

Z2 = X2*^-\modq • s), 

und wobei 4>(.) die Euler'sche Funktion und 
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lcm(r,s) das kleinste gemeinsame Vielfache von r 
und s darstellt, 

c) anschliefiend nach dem Chinesischen Rest- 
weitsatz aus Zi und Z2 eine Zahl z berechnet wiid 
initz = Zi(modp • r); z = Z2 (mod q • s); 5* 

d) das ^ebnis E der Exponentiation durch Re- 
duktion von z modulo p ■ q berechnet wird 

e) die vorher berechnete Zahl z und damit das Er- 
gebnis E in einem PriifschriU auf Rechenfehler 
gepruft wind, 10 

f) der Prufschritt folgende Rechenoperationen 
beinhaltet: 

fl) Berechnen der Ideinstmoglichen aatiirli- 

chen Zahl e mit der Eigenschafl e • d = 1 

(mod <t<lcm(r,s))) mit Hilfe des erweiterten 15 

Euklids*schen Algorithmus 

f2) Berechnen des Wertes C = z*(mod 

lcm(r,s)) 

f3) Veigleich der Werte x und C modulo 
lcm(r,s), wobei das Eigebnis der modularen 20 
Exponentiation E als fehlerhaft verworfen 
wird, wenn X + C(mod lcm(r,s)). 
2. Kryptographisches Verfahren, 

a) mit mindestens einer one modulare Exponen- 
tiation E . • 25 

E = x**(modp • q) 

enthaltenden Rechenschritt mit einem ersten 
Primfaktor p, einem zWeiten Primfaktor.q, einem 30 
Expohenten d und einer Basis x, wobei 

b) zur Durchfiihrung der modularen Exponentia- 
tion zwei naturliche Zahlen r und s, sowie zwei 
Zahlen bj und hj im Intervall [1, . . r - 1] bzw. 
[1, . . s - 1] und teilerfremd zu r bzw. s gewahlt 35 
werden, und wobei b^ und b2 die Bedingung bi = 

b2 (mod ggt(r,s)) erfullen, wobei ggt(r,s) den groB- 
ten gemein^amen Ifeiler von r und s bezeichnet, 

c) mit Hilfe dir beiden Zahlen b i und b2 nach dem 
Chinesischen Restwertsatz Werte Xi und X2 be- 40 
rechnet werden, die die folgenden Bedingungoi- 
erfuUen: 

Xi = x(mod p), xi = bi(mod r) 

• . 45 

X2= x{mod q), X2= b2 (mod s) 

und anschliefiend folgende Rechenschritte durch- 
gefuhit werden: 

- 50 
d_l = d(mod <^(p)) . . 

d_2 = .d(mod^(q)) 

Zi = xi^-^(modp • r) 55 
22 = X2**-^ (mod q • s) 

und <[)(.) die Euler'sche Funktion nnd lcm(r,s) das 
kleinste gemeinsame Vielfache von r und.s dar- 60 
stellt, 

d) anschliefiend nach dem Chinesischen Rest- 
wertsatz aus zi und Z2 eine Zahl z berechnet wird 
mitz = Zi (modp • r);z = Z2(modq • s) 

e) das Ergebnis E der Exponentiation durch Re- 65 
duktion von z modulo p • q berechnet wird 

0 die vorher berechnete Zahl z (und damit auto- 
matisch auch das Eigebnis E) in einem Prufschritt 
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auf Rechenfehler gepruft wird, 
g) der Prufschritt folgende Rechenoperationen 
beinhalt^: '7 
gl) Berechnen der Zahlen 

Ci = b,^\mod . r) 

C2 = b2^-Vod . s) 

wobei d_l und d_2 vor der Durchfuhrung der 
modularen Exponentiation modulo <t>(r) bzw. 
<()(s) reduziert werden 

g2) Vergleich der Werte zi und Ci modulo r 
sowie Z2 urid C2 modulo s, wobei das Eigeb- 
nis der modularen Exponentiation E als feh- 
ierfaaft verworfen wird, wenn Ci ^ Zi mod r 
Oder C2 =?t Z2 mod s gilt. 

3. Kryptographisches Verfahrra nach Anspruch 2, da-, 
durch gekennzeichnet, dafi die Zahlen r und s ungerade 
sind. 

4. Kryptographisches Verfahren nach Anspruch 1 bis 

3, dadurch gekennzeichnet, dafi die Zahlen r und s im 
Bereich [0, 2^- 1] mit 16 < k < 32 ausgewahlt wer- 
den. 

5. Kryptographisches Verfahren nach Anspruch 1 bis 

4, .dadurch gekennzeidinet, dafi mindestens eine der 
Zahlen r und s so gewahlt wird, dafi die Binardarstel- 
lung des Produktes p • r beziehungsweise q • s mog- 
lichst viele fuhrende Einsen enthalt. 

6. Kryptographisches Verfahren nach einem der An- 
spruche 1 bis 5, dadurch gekennzeichnet, dafi beide 
Zahlen r und s so gewahlt werden, dafi die Binardar- 
stellung des Produktes p • r und des Produktes q • s 
moglichst viele fuhrende Einsen enthalten. 

7. Kryptographisches Verfahren nach einem- der An- 
spruche 5 oder 6, dadurch gekennzeichnet, dafi . 

a) in einem ersten Teilschritt zunachst fur minde- 
stens eine der Zahlen r und s eine entsprechende 
optimale Zahl ropt beziehungsweise Sopt ohne Be- 
schrankung durch die Bedingung, gemafi der d 
teilerfremd zu <|>(lcm(r,s)) ist, ausgewahlt wird, 
und . 

b) in einem zweiten Teilschritt jeweils ein be- 
nachbarter .Wert r = Xapt — i beziehiingsweise s = 
Sopt — i» i - 1, . . k, ausgewahlt wird, so dafi d 
teilerfremd zii 4>(lcm(r,s)) ist 

8. Kryptographisches Verfahren nach einem der An- 
spruche 5 oder 6, dadurch. gekennzeichnet, dafi 

a) in einem ersten Teilschritt fiir jede der Zahlen r 
und s eirie entsprechende optirnale Zahl r^pt bezie- 
hungsweise Sopt ohne Beschrankung durch die Be- 
dingung, gemafi der d teilerfrmd zu (tKlcin(r,s)) 
ist, ausgewahlt wind, und . 

b) in einem zweiten Teilschritt jeweils ein Wert r 
= 2^ • ropt beziehungsweise 5 = 2' - Sopt, 1 = 0, 1, 
. . j, ausgewahlt wird, so dafi d teilerfremd zu 
(t)(lcm(r,s)) ist. 

9. Kryptographisches Verfahren nach einem der An- 
spruche 5 oder 6, dadurch gekennzeichnet, dafi 

a) in einem ersten Teilschritt mindestens eine der 
Zahlen ropt und Sgpt zunachst ohne Beschrankung 
durch die Bedingung, gemafi der d teilerfremd zu 
(}>(lcm(r,s)) ist, ausgewahlt wird, 

b) in einem zweiten Teilschritt jeweils ein be- 
nachbarter Wert r = rop, - i beziehungsweise s = 
Sop> — i, i = 0, 1, . . k, ausgewahlt wird, so dafi d 
teilerfremd zu 4)(lcm(r,s)) ist, falls ein solcher 
Wert fur i = 0, 1 , . . k existiert, und 
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c) in einem dritten Teilschritt jeweils ein Wert r = 
2* ' roptbeziehuiijgsweises = 2* • Sopt, i = 0, 1,. .., 
j, ausgewahlt wird, so daB d teilerfremd zu . 
<|)(lcni(r,s)) ist, falls im zweiten Teilschritt kein 
-Wert ausgewahlt wbrdwi ist. ■ 5 

10. Kryptographisches Verfahren nach einem der vor- 
stehenden Anspriiche, dadurch gekennzeichnet, daB es 
das RSA- Verfahren beinhaltet, 

11. Kryptographisches Verfahren nach einem der vor- 
stehenden Anspriiche, dadurch gekennzeichnet, daB es 10 
das Rabih'sche-Signaturen- Verfahren beinhaltet. 

12. Kryptographisches Verfahren nach einem d(^ vor- 
stehend^ Anspriiche, idadurdi gekennzeichnet, daB es 
das Hk-Shainii'sche identifikatioiisschema-Va:fahien 
beinhaltet IS 

13. Kryptographische Vorrichturig, 

a) mit mindesteas einer Exponentiationseinrich- 
tung, die dnen eine modulare Exppn^tiation E 

E = x*'(mpdp • q) 20 

enthait^den Rechenschritt niiit einem ersten 
Primfaktor p/einem zwdten Frimfaktor q, einein 
" Expdnenten d und einer Basis x ausfiihrt, wobei 

b) zur Durchfuhrung der mckiularen Expbnentia- 25 
tiori zwei natiirliche Zahlen r urid s gewahlt wer- 
den mit der Bedingung, daB d teilerfremd ist zu 
<t>(lcm(r,s)) und wobei die folgenden Rechen- 
scbritte durchgefuhrt werdeh: 

30 

xi = x(mod p • r) 

X2 = x(modq • s) , 

d_l = d(mod <j)(p • r)) 35 

d_2 = d(mod<^(q - s)) 

zi = xi*^-^(mod p '- r) 

40 

Z2 = X2^-^modq • s), . 

und <()(,) die Eule/sche Funktion und lcm(r,s) das 
kleinste gemeinsame \^elfache von r und s dar- 
stellt, 45 

c) ahschlieBend nach dem Chinesischen Rest- 
wertsatz aus 21 und 22 eine Zahl z berechnet wird 
mit z = Zi(iiiod p • r); z = ^(inod q • s) . 

d) das Ergebnis E der Expoiientiadon durch Re- 
dulction von z modulo p • q berechnet wird 50 

e) die vorh«- berechnete Zahl z (und damit auto- 
matisch auch das Ergebnis E) in einem Prufschritt 
auf Rechenfehler gepriift wird, 

f) der Priifsdiritt folgende Rechenoperationen 
beinhaltet; ' 55 

fl) Berechnen der kidnstmoglichen naturlir 
chen Zahl e mit der Eigenschaft e • d = 1 
(mod <Klcm(r,s))) mit Hilfe des erweiterten 
Euklid'schen Algorithmus 

f2) Berechnen des Wertes C = z^(mod 60 
lcm{r,s)) 

G) Vergleich der Werte x und C modulo 
lcm{r,s), wobei das Ergebnis der modularen 
Exponentiation E als fehlerhaft verworfen 
wird, wenn x + C (mod lcm(r,s)). 65 
14. Kryptographische Vorrichtung, 

a) mit mindestens einer Exponenliationseinrich- 
tung, die einen eine modulare Exponentiation E 



E = x*^riiodp • q) 

enthaltenden Rechenschritt niit einem ersten 
Primfaktor einem zweiten Primfaktor q, einem 
Exponenten d und einer Basis x ausfuhrt, wobei 

b) zur Durchfiihriinig der modularen Exponentia- 
tion zwei natiirliche Zahlen r und s, sowie zwei 
Zahlen b I und b2 im Intervall [1, , : r- 1] bzw. 
[1, . . ., s - 1] und teilerfremd zu r bzw, s gewahlt 
werden, und wobei bj und b2 die Bedingung bi = 
b2 (mod ggt(r,s)) erfuUen, wobei ggt(r,s) den groB- 
ten gemdnsamen Teiler von i: imd s bezeichnet, 

c) mit Hilfe dir beiden Zahlen bi und bi nach dem 
dhinesischen Restwertsatz Werte xi und xj be- 
rechnet werdm, die die folgenden Bedingungen 
erfullen: 

Xj = x(modp), xi = bi(mod r) 

X2 = x(mod q), X2 = b2(mod s) 

und anschliefiend folgende Rechenschritte durch- 
gefiihrt werden: 

d_l =d(mod(t>(p)) 

d_2 = d(mod<(>(q)) 
zi = xi^ Vmod p • r) 

Z2 = X2^^(mod q • s) 

und wobei 4>(0 die Euler'sche Funktion und 
lcm(r,s) das kleinste gemeinsame ^dfache von r 
und s darstellt, 

d) anschliefiend nach dem Chinesischen Rest- 
wertsatz aus zi und Z2 eine Zahl z berechnet wird 
mit z = Zi(mod p • r); z = Z2(niod q • s); 

e) das Ergebnis E der Exponentiation durch Re- 
duktion von z modulo p • q berechnet wird 

0 ^® vorher berechnete Zahl z (und damit auto- 

matisch auch das Ergebnis E) in einem Prufschritt 

auf Rechenfehler gepriift wird, 

g) der Prufschritt folgende Rechenoperationen 

beinhaltet: 

gl)~Berechnen der Zahlen 

Ci = bi**-Hmdd . r) 

C2 = b2^-Vod . s) 

wobei d_l und d__2 vor der Durchfuhrung der 
. modularen Exponentiation modulo ^(r) bzw. 
4>(s) reduziert werden, 

g2) Vorgleich der Werte Zi und Q modulo r 
sowie Z2 und C2 modulo s, wobei das Ergeb- 
nis der modularen Exponentiation E als feh- 
lerhaft verworfen wird, wenn Ci zi mod r 
oder C2 Z2 mod s gill. 

15. Kryptographische Vorrichtung nach Anspruch 14, 
dadurch gekennzeichnet, daB die Zahlen r und s unge- 
rade sind. 

16. Kryptographische Vorrichtung nach Anspruch 13 
bis 15, dadurch gekennzeichnet, dafi die Zahlen r und s 
im Bereich (0, 2^ - 1] mit 16 < k < 32 ausgewahh 
werden. 

17: Kryptographische Vorrichtung nach Anspruch 13 
bis 16, dadurch gekennzeichnet, daB mindestens eine 
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der Zahlen r und s so gewahll wird, daB die Binardar- 
stellung des Produktes p • r beziehungsweise q • s 
moglichst viele fiihrende Einsea enthait 

18. Kiyptographische\bmchtung nacheinemderAiH 
spniche 13 bis 17, dadurch gekennzeichnet, daB beide 5 
Zahlen r und s so gewahit werden, dafi die Binaidar- 
stellung des Produkles p • r und des Produktes q • s 
moglichst viele fiihrende Einsen enthalten. 

19. Kryptographische Vonichtung nach einem der An- 
spruche 17 oder 18, dadurch gekennzeichnet, daB 10 

. ■ ' a) in einem ersten Teilschritt zunachst fiir minde- 
stens eine der Zahlen r und s eine entsprechende 
optimale Zahl ropt beziehungsweise Sopt ohne Be- 
schrankung durch die Bedingung, gemafi der d 
teilerfremd zu <{)(lcm(r,s)) ist, ausgewahlt wdrd, 15 
und 

b) in einem zweiten Teilschritt jeweils ein be- 
nachbarter Wert r = Topt - i beziehungsweise s = 
Sopt - i, i = 0, 1, . , k, ausgewahlt wird, so daB d 
teiler&emd zu <|>Qcm(r,s)) ist. 20 

20. Kzyptographische Vonichtung nach dnem der An- 
spriiche 17 oder 18, dadurch gekennzeichnet, daB , 

a) ineinemerstenTeilschrittfurjede der Zahlen r 
und s eine entsprechende optimale Zahl ropt bezie- 
hungsweise Sopt ohne Beschrankung durch die Be- 25 
dingung, gemafi der d teilerfremd zu 4>(lcm(r,s)) 
ist, ausgewahlt wird, und 

b) in einem zweiten Teilschiitt jeweils ein Wert r 
= 2^ • ropt beziehungsweise s = 2* • Sopt - i = 0, 1, 

. . ., j, ausgewShlt wind, so daB d teilerfremd zu 30 
<|)(lcm(r,s)) ist. 

21. Kryptographische Vorrichtung nach einem der An- 
spruche 17 oder 18, dadurch gekennzeichnet, daB 

a) in einem ersten Teilschritt mindestens eine der 
Zahlen ropt und Sopt zunachst ohne Besctirankung 35 
durch die Bedingung, gemaB der d tellerfipemd zu 
4>(lcm(r,s)) ist, ausgewahlt wird, , 

b) in einem zweiten Teilschritt jeweils ein be- 
nachbarter Wert r = r^pt - i beziehungsweise s = 
Sopt - i, i = 0, 1, . . ., k, ausgewahlt wird, so daB d 40 
teilerfremd zu <|)(lem(r,s)) ist, falls ein solcher 
Wert fur i = 0, 1, k existiert, und 

c) in einem dritten Teilschritt ieweils ein Wert r = 
2^ * ropt beziehungsweise s = 2^ • Sopt, i = 0, 1, ., 

j, ausgewahlt wird, so daB d teilerfremd zu 45 
<|)(lcm(r,s)) ist, falls. im zweiten Teilschritt kein 
Wert ausgewahlt worden ist 

22. Kiyptographische Vorrichtung nach einem der 
vorstehendenAnspruche, dadurch gekennzeichnet, daB 

es das RSA-Verfahren beinhaltet 50 

23. Kryptographische Vorrichtung nach einem der 
vorstehenden Anspruche, dadurch gekennzeichnet, daB ■ . 
es das Rabin'sche-Signaturen-Verfahren beinhaltet. 

24. Kryptographische VDrrichtung nach einem der 
vorstehenden Ansfnruche, dadurch gekennzeichnet, daB 55 
es das Hat-^hamir'sche Identifikationsschema-'S^rfah- 
ren beinhaltet. 
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